2022.05.16
2025.03.03
HubSpotを導入したけど、セキュリティ対策はこれで十分か不安になっていませんか?
顧客情報や企業の機密情報を扱うHubSpotだからこそ、セキュリティ対策は万全にしておきたいものです。
しかし「具体的に何をすれば良いのか分からない」「HubSpotのセキュリティ機能について詳しく知りたい」という方も多いのではないでしょうか。
そこで本記事では、標準セキュリティ機能からユーザー設定、ツール以外の対策まで、HubSpotのセキュリティ対策を徹底解説します。
HubSpotのセキュリティ対策が万全にできるようにまとめたので、最後まで読んでお役立てください。
HubSpotには個人情報や企業の機密情報が保管されているので、セキュリティ対策は万全に行いましょう!セキュリティ対策について、相談があれば下記よりご連絡ください。
HubSpotの使い方、活用方法が聞ける、無料のオンライン相談会を開催中です。
「HubSpotで何ができるか知りたい方」はもちろん、「すでに利用しているがもっとフル活用したい方」もお気軽にご相談ください。
詳細は「HubSpotをより活用したい方へ!無料のオンライン相談会を実施中!」をご確認ください。
▼ 今すぐHubSpot無料相談会を予約
コンテンツ目次
HubSpotに導入されているセキュリティ機能
HubSpotは、外部からの攻撃に備えてさまざまなセキュリティ対策を講じ、高い安全性を維持しています。
しかし、ユーザー起因のセキュリティトラブルを防ぐためには、ユーザー側が適切なセキュリティ対策を行うことも重要です。
HubSpotの導入支援を実施しているFLUED社では、HubSpotのセキュリティ機能には以下の2種類があると考えています。
- HubSpotの標準セキュリティ機能
- ユーザー側のセキュリティポリシーに基づいて利用を判断する機能
ここでは、上記の2つに分けて、セキュリティ機能を紹介します。
HubSpotの標準機能
標準セキュリティ機能は、HubSpotのシステムを守るために、HubSpotが標準的に実施しているセキュリティ対策です。
標準SSL証明書
1つ目のセキュリティ機能は、標準SSL証明書です。SSLは、Secure Sockets Layerの略です。Webサイトとそのサイトを閲覧しているユーザーとのやり取り(通信)を暗号化する役割を担っています。
HubSpotでは、このSSL証明書が標準で提供されており、ユーザーがHubSpotで作成・ホスティングするWebサイトは自動的にSSL化されます。WebサイトをSSL化することで、ユーザーは安心してサイトにアクセスすることが可能です。
また、Googleなどの検索エンジンはSSL化されたサイトを評価する傾向にあるため、検索順位の上昇など、副次的な効果も期待できます。
HubSpotにおいては、ホスティングされるすべてのコンテンツやリード(見込み客)のデータが保護されます。
ファイアウォール設定
ファイアウォールは、不正アクセスを遮断し、外部からの侵入を防ぐための仕組みです。その名のとおり「防火壁」のように機能し、ネットワークを保護する重要な役割を担っています。
HubSpotへの不審なトラフィックをブロックし、常に安全な環境を維持しています。
Webアプリケーションファイアウォール (WAF)
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションへの攻撃を防ぐ仕組みです。
サーバーへのアクセス時に送受信されるパラメータや、サーバーとユーザー間のデータをリアルタイムで監視しています。蓄積されたデータベースをもとに不正を検知し、不審な通信が確認された場合は、データの送受信を即座に停止し、情報流出を防ぎます。
WAFの詳細は、以下のHubSpot公式サイトもご覧ください。
>>無料のWAF(ウェブ アプリケーション ファイアウォール)
侵入検知システム (IDS/Intrusion Detection System)
侵入検知システム(IDS)は、システムへの不正アクセスや異常な通信を検知し、管理者へアラートする仕組みです。
先述の「ファイアウォール」は、正常な通信と異常な通信を完全に判別できるわけではなく、すり抜けられてしまう可能性があります。そのため、システム内への不正侵入をいち早く検知し、対応を促す役割として「IDS」が存在します。いわば「第二の防衛線」としての機能です。
定期的なバックアップ
HubSpotでは、データの損失に備えて定期的にCRMデータのバックアップを作成しています。
以下の通り、プランによりバックアップ頻度が異なるので注意が必要です。
- StarterおよびProfessionalアカウント:週に1回
- Enterpriseアカウント:24時間に1回
バックアップの対象をはじめとした詳細な情報については、HubSpot公式サイトをご覧ください。
定期ソフトウェア更新
セキュリティの脆弱性を修正するため、HubSpotではソフトウェアを定期的に更新し、最新状態を維持しています。「脆弱性(ぜいじゃくせい)」とは、システムやソフトウェア、ネットワークなどにおけるセキュリティ上の欠陥のことです。
脆弱性を放置するとサイバー攻撃の標的になるため、定期的なアップデートやセキュリティ対策が重要です。
アカウントアクティビティー履歴管理
HubSpotには、ユーザーのログインや管理者権限の追加・削除など、アカウントアクティビティーの確認機能があります。
アカウントアクティビティー画面では、ユーザーや従業員の過去1年分のログイン履歴を確認できます。不正なログインがないかを定期的に確認し、安全性を保つようにしましょう。
アカウントアクティビティーの確認方法はHubSpot公式サイトを参照してください。
セキュリティの健全性管理
HubSpotでは、アカウント全体のセキュリティを健全な状態に保つためにいくつか機能が提供されています。中でも「セキュリティヘルスチェック」は、HubSpotのセキュリティ設定を最適化する上で有効な機能です。
セキュリティヘルスチェックを実施すると、現在使用中のHubSpotにどの程度のセキュリティ対策が施されているかを確認できます。定期的なチェックにより潜在的なリスクを把握し、必要な対策を強化しましょう。
以下の表に記載されている内容が、セキュリティ対策評価の対象項目です。
| 項目 | 内容 |
|---|---|
| スーパー管理者権限保有者の確認 | スーパー管理者権限の保有者を把握し、意図しない設定変更リスクを減らす |
| リスクのある権限保有者の確認 | アカウントの重要なデータを変更できる権限を持つメンバーを把握し、意図しない設定変更リスクを減らす |
| 2要素認証 | 2要素認証を設定させ、アカウントへの不正アクセスのリスクを低減させる |
| 非アクティブユーザー | 操作がないユーザーの人数を最小限にし、アクティブなユーザーのみがアカウントにアクセスする状態に保つ |
| 非アクティブな非公開アプリ | 使っていないアプリのアンインストールを推奨する |
| コンテンツ承認を有効にする | コンテンツが外部へ共有される前に、承認を必須とする |
| コンテンツ承認待ち | 承認待ちのコンテンツ数を最小限に抑え、コンテンツを安全かつスムーズに公開する |
セキュリティヘルスの実施方法は、HubSpot公式サイトに記載があるので確認してください。
>>HubSpotのセキュリティヘルスを使用してアカウントのセキュリティを管理します。
チームの作成と管理
組織の目的やレポートの目的に合わせて、ユーザーをグループに分けることが可能です。
ユーザー側での設定が別途必要ですが、セキュリティレベルを維持するために、必ず実施しましょう。
チームの作成と管理を利用できるのは、Marketing Hub、Sales Hub、Service Hub、Operations Hub、Content HubのProfessionalまたはEnterpriseプランです。設定前に、使用中のプランをご確認ください。
詳細やチームの作成・管理方法は、公式サイトを確認してください。
ユーザー側のセキュリティポリシーに基づいて利用を判断する機能
ユーザー側のセキュリティレベルを上げるためのセキュリティ機能で、基本的に機能のON / OFFが可能です。
このセクションで解説するセキュリティ機能には、以下の2パターンがあります。
- HubSpotで設定が必要なもの
- 企業ごとに導入するもの
それぞれについて、詳しく解説をします。
ユーザー権限の管理
HubSpot上でユーザーごとの権限を細かく設定することで、必要なデータへのアクセス制限ができるようになります。
ユーザー権限を管理することで、不正アクセスや誤操作のリスクの軽減がされます。
なお設定を行えるアカウントは、スーパー管理者と、ユーザーを追加・編集できる権限を持つユーザーのみです。
ユーザー権限の管理方法は、HubSpot公式サイトを確認してください。
カスタムのドメインセキュリティ設定
カスタムドメインセキュリティ設定をすると、外部ユーザーのWebサイトへのアクセス方法を指定できます。HubSpotでホスティングしているコンテンツのセキュリティ管理を強化し、不正アクセスや脅威からの保護を強固にすることが可能です。
詳細や設定方法は、HubSpot公式サイトを確認してください。
ページのパスワード保護
対象のページをパスワードで保護することによって、コンテンツを表示できるユーザーを限定できます。限定キャンペーンページやテスト公開ページなど、ページ単位で設定をしたい場合に便利な機能です。
ページのパスワード保護機能は、Content HubのProfessionalもしくはEnterpriseプランで利用できます。
詳細や設定方法は、HubSpot公式サイトを確認してください。
アクセス権設定
アクセス権設定は、外部ユーザーに対して、ユーザー名とパスワードを使用したログインを要求する機能です。HubSpotでホスティングされている特定のページへのアクセスを制限できます。
社内向けポータルサイトや会員専用コンテンツなど、ユーザーごとにアクセス管理が必要な場合に役立つ機能です。アクセス権設定は、Content HubのEnterpriseプランの契約が必要です。
詳細や設定方法は、HubSpot公式サイトを確認してください。
IPの制限
特定のIPアドレスのみがHubSpotにアクセスできるよう、制限ができます。許可されていないIPアドレスの場合、仮に適切なログイン認証をしていても、アクセスブロックが可能です。
IP制限により、機密情報の保護や不正利用のリスク軽減につながります。特に、リモートワークや外部アクセスが多い環境では、セキュリティ強化の手段として有効です。
設定方法はHubSpot公式サイトをご確認ください。
データの暗号化
HubSpotでは、すべてのデータが、転送中および保管時にデフォルトで暗号化されています。
特に、個人識別情報や健康情報などの機密データは、専用のカスタムプロパティーを作成して管理します。
「センシティブ」にマークされたプロパティーに追加の暗号化レイヤーを適用し、厳格なアクセス制限のもとで保管する仕組みです。
詳細や設定方法は、HubSpot公式サイトを確認してください。
2要素認証(2FA/Two-Factor Authentication)
通常、HubSpotにログインする際に必要な情報は、ユーザー名とパスワードのみです。2要素認証は、既存のパスワードのほかに、別のデバイス(SMSや認証アプリなど)を使用した認証を要求し、不正アクセスを防ぎます。
2要素認証は「知っているもの」+「持っているもの」 の2つの異なる要素で認証する仕組みです。そのため、仮にパスワードが漏れても、2要素目がないとログインができないため、セキュリティ強化につながります。
本記事の後半で設定方法を画像付きで記載しているため、まだ設定していない方はぜひご覧ください。そのほかの詳細については、HubSpot公式サイトもご確認ください。
シングルサインオン(SSO/Single Sign On)
シングルサインオンは、1回のユーザー認証だけで複数のシステムやサービスにアクセスできる仕組みです。HubSpotでSSOを使用するには、Enterpriseプランの契約が必要です。
シングルサインオンを使うと、各サービスへのログイン頻度が圧倒的に減少するため、セキュリティリスクの軽減につながります。
詳細や設定方法は、HubSpot公式サイトを確認してください。
Eメール認証の管理
GoogleやYahooなどのメールサービスでは、大量のメールを送信する場合にEメールの認証を義務付けています。認証が未実施の場合、メールはブロックされるか、迷惑メールとして扱われる場合があります。
そのため、特にメール施策を行う企業では、Eメールの送信元を証明するためのセキュリティ対策が必要です。DNSレコード(DKIM、SPF、DMARC)の設定で認証を実装できます。
詳細や設定方法は、HubSpot公式サイトを確認してください。
VPN設定(Virtual Private Network/仮想プライベートネットワーク)
VPNとは、インターネット上に仮想的な専用ネットワークを作り、安全にデータを送受信するための技術のことです。VPNを利用すると、データを暗号化して安全に通信できるため、外部からの不正アクセスを防げるようになります。
自社のセキュリティポリシーにより、導入を検討しましょう。
契約中のプランにより、利用できる機能とそうでないものがあります。自社の規模や取り扱い商材によっては、プランのアップグレードも検討しましょう。
HubSpotのデータの安全性とは?
HubSpotでは、さまざまな方法でデータを保存・管理しています。いずれの方法でも、データの安全性と復旧に関する最適な方法に従い、データベースが構築されているのが特徴です。
HubSpotのホスティングとしては、以下の2つが採用されています。
- アマゾン ウェブ サービス
- Google Cloud
アマゾン ウェブ サービスは、大手ECサイト「Amazon」が提供する、世界トップクラスのクラウドプラットフォームです。それぞれの頭文字をとってAWSとも呼ばれます。
一方のGoogle Cloudは、Googleが提供するクラウドコンピューティングサービスの総称です。
HubSpotのプラットフォームに保存されたデータは、3つのデータセンターに複製複製されます。そのため、万が一、データセンターのサーバーに障害が発生しても、サービスの中断による被害が最小限に抑えられます。
障害が発生すると、別のデータセンターのレプリカサーバーへと処理が切り替わるためです。
HubSpotには強力なセキュリティ対策だけでなく、万が一に備えた対応策もしっかりと取られています。下記より、MAツールの比較資料を無料でダウンロードできるので、気になる方はチェックしてください。
ちなみに、主要なMAツールの機能を徹底的に比べられる、比較表を無料配布中です!
Pardot(Marketing Cloud Account Engagement)やMarketo、HubSpotなど、各ツールでできることを機能ごとに一覧化した便利なシートです。ツール選定の参考資料としてぜひご活用ください。
HubSpotで設定できるセキュリティ対策
ここからは、HubSpotで実際に設定できるセキュリティ対策を解説します。今回紹介する内容は、以下の2つです。
- 2要素認証の設定方法
- GDPR機能の設定方法
画像を交えて詳しく解説しているので、まだセキュリティ対策ができていない方は、ぜひ参考にしてください。
1.2要素認証を設定する
2要素認証を設定することで、第三者にアクセス権を取得されるリスクを大幅に削減できます。
1.基本設定を実施する
2要素認証を設定する手順は、下記の通りです。
1.HubSpotにログインし、画面右上のアカウント名をクリックします。開いたメニューの中にある「プロファイルと設定」をクリックしてください。
2.「セキュリティー」タブをクリックします。
3.「2要素認証」セクションにて、「2要素認証(2FA)をセットアップ」をクリックします。
4.アカウントの保護方法を選択し、それぞれで表示される画面に従い、操作を進めます。
上記の手順を実施し、一次認証方法の設定が完了したら、二次認証方法の設定も同時に行うことをおすすめします。
二次認証方法を設定することで、万が一、一次認証方法でアクセスできない場合でも、二次認証方法でHubSpotへのログインができます。
二次認証方法の設定手順は、下記の通りです。
1.HubSpotにログインし、画面右上のアカウント名をクリックします。開いたメニューの中にある「プロファイルと設定」をクリックしてください。
2.「セキュリティー」タブをクリックします。
3.「2要素認証」セクションにて、二次認証方法をセットアップするためのオプションをクリックしてください。
4.表示された画面に従い、設定します。
2.2要素認証の設定を必須にする
すべてのユーザーに対して、2要素認証によるログインを必須にするための手順は下記の通りです。なお、スーパー管理者または、アカウント既定値を編集できる権限が必要なのでご注意ください。
1.HubSpotにログインし、画面右上の設定アイコンをクリックします。
2.左側のメニューの「セキュリティー」をクリックし、設定画面を開きます。
「◯人のユーザーが2要素認証(2FA)に登録していません」という文言の右横の「管理」をクリックしてください。
3.現段階で2要素認証を設定していないユーザーの一覧が表示されます。設定を促したいユーザーのチェックボックスにチェックを入れ「次へ」を押してください。
4.Eメールの送信確認画面が出るので、問題がなければ右下の「送信」を押しましょう。
2.GDPR機能を有効にする
HubSpotには、GDPR(General Data Protection Regulation)に対応した機能が備わっています。GDPRは、EUおよびEEA(欧州経済領域)内の個人データを保護するための法律です。GDPRでは、企業が個人情報を適切に管理し、透明性のあるデータ処理を行うことが定められています。
対象となるのは、EU圏内に拠点を持つ企業や、EUの顧客データを扱う企業です。下記のような企業は、GDPR対応が必須となる場合があるので注意が必要です。
- 国際的に事業を展開する企業
- EU市場を対象とする企業
GDPR機能を有効にすることで、以下のような機能を有効にでき、セキュリティ体制をさらに強化できます。
- Cookie同意バナーがデフォルトで表示
- コンタクトデータの処理に法的根拠がない場合、それを通知するバナーがコンタクトレコードに自動表示
※HubSpot Sales拡張機能または、アドインを利用している場合に限る
- 1対1のセールスEメールおよびシーケンスEメールのサブスクライブ解除リンクがデフォルト表示
HubSpotのGDPR機能を有効にする手順は、下記の通りです。なお、スーパー管理者または、Edit account defaultsというアカウントの既定設定を編集できる権限が必要です。
1.HubSpotにログインし、画面右上の設定アイコンをクリックします。
2.画面左側のサイドバーメニューより、【プライバシーと同意】をクリックします。
3.「データのプライバシー設定をオンにする」のスイッチをクリックしてください。
4.警告画面の内容を確認し、「はい、データのプライバシー設定をオンにします」をクリックします。
5.データのプライバシー設定を行えるようになります。各項目に記載されている手順に従い、プライバシー設定を進めておきましょう。
画像付きで手順を解説しましたが、もし不明な点があったら、お気軽にご相談ください!
HubSpotのセキュリティをさらに強化する2つの方法
ここからは、HubSpot以外で実施できるセキュリティ対策を解説します。今回紹介する内容は、以下の2つです。
- セキュリティ関連サービスを導入する
- 社員のセキュリティ意識を向上させる
ひとつずつ順に解説します。
1.セキュリティ関連サービスを導入する
冒頭でHubSpotに導入されているセキュリティ機能について解説しました。しかし、HubSpot以外の部分に対してもセキュリティ対策を実施することは重要です。
各社で導入できるセキュリティサービスについては、以下の3つが挙げられます。
- ウイルス対策ソフト
- ファイアウォール・WAF
- 仮想専用ネットワーク(VPN)
上記3つについて、順に詳しく解説します。
ウイルス対策ソフト
ウイルス対策ソフトは、コンピューターウィルスを検知し、侵入を防ぐためのセキュリティソフトウェアです。
特に、最新のウイルス対策ソフトには、複数のセキュリティ対策機能が搭載されています。対策可能なウイルスの具体例は、以下の通りです。
- ログイン情報の流出
- トロイの木馬による情報の流出 など
このように、最新のウイルス対策ソフトには、悪意のある幅広いプログラムに対抗するための機能が備えられています。
ファイアウォール・WAF(Web Application Firewall)
ファイアウォールとWAFは、外部からの不正侵入を防ぐ際に効果的です。
ファイアウォールは、不正アクセスやサイバー攻撃などから、ネットワークやサーバー、パソコンなどを守る機能を有します。
一方のWAFは、Webアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護するものです。ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを作成したりといった機能があるWebサイトを守るのに適しています。
VPN(仮想専用ネットワーク)
VPNは、Virtual Private Networkの略で、インターネット上で構築された空間において、特定の人のみが利用可能な専用のネットワークです。
VPNを活用することで、遠隔地からも社内ネットワークを安全に利用できます。新型コロナウイルス感染症を機に、リモートワークを導入した企業も多いです。その観点でも、VPNの導入は有意義な対策といえます。
2.社員のセキュリティ意識を向上させる
HubSpotのセキュリティをより強固にするには、セキュリティに対する社員の意識を向上させることも重要です。
企業が情報漏えいを起こしたケースを見ると、社員一人ひとりがセキュリティに対する意識を持っていたら防げたケースが多く存在します。
NPO日本ネットワークセキュリティ協会(JNSA)が公表している「2018年 情報セキュリティインシデントに関する調査結果」によると、以下が情報漏えいの3大原因です。
- 紛失・置き忘れ(26.2%)
- 誤操作(24.6%)
- 不正アクセス(20.3%)
社員一人ひとりが高いセキュリティ意識を持っていたら防げたであろう「紛失・置き忘れ」「誤操作」だけで全体の半数以上を占めています。
このJNSAの調査結果から、社員への意識改革が大切であると分かります。社員のセキュリティ意識を向上させるには、定期的に教育を行うのが効果的です。
例えば、セキュリティ担当者による勉強会を開催する、セキュリティに関するeラーニングを義務付ける、などの対策が挙げられます。
ただし、ただ教育を行うだけでは知識として定着せず、せっかくの教育が無駄になってしまう恐れもあります。教育に対する効果を高めるには、テストの実施がおすすめです。合格の基準は社員らのレベルを考慮したうえで設けるようにしましょう。
また、間違いの多い問題や合格基準に届かなかった社員に対するフォローも忘れずに実施しましょう。
さまざまなセキュリティ対策システムがあるものの、最も重要なのは社員それぞれが正しい知識と高いセキュリティ意識を持つことです。
HubSpotのセキュリティ対策は万全にしよう
HubSpotのセキュリティをテーマに、標準で備わっている機能や、セキュリティをより強化する方法などについて解説しました。
HubSpotは、自社の情報のみならず、顧客の情報も多く含まれているため、セキュリティ対策を万全にすることが重要です。
本記事の内容を参考にして、HubSpotのセキュリティ対策をしっかりと実施しましょう。
HubSpotのセキュリティ対策に関して、気になることなどがあれば下記よりお問い合わせください。
HubSpotの使い方、活用方法が聞ける、無料のオンライン相談会を開催中です。
「HubSpotで何ができるか知りたい方」はもちろん、「すでに利用しているがもっとフル活用したい方」もお気軽にご相談ください。
詳細は「HubSpotをより活用したい方へ!無料のオンライン相談会を実施中!」をご確認ください。
▼ 今すぐHubSpot無料相談会を予約
